技術領域

本發明涉及通信領域，尤其涉及CDMA2000系統中移動IP(Internet Protocol，網絡互連的協議)業務接入時的安全機制。

背景技術

移動IP業務相較簡單IP業務為用戶提供了更大范圍的不間斷業務， 在CDMA2000、Wimax(World?Interoperability?for?Microwave?Access，全球 微波接入互通技術)以及下一代演進網絡中都得到了廣泛的應用。

移動IP業務在核心網側主要網元包括FA(ForeignAgent，外地代理)、 HA(Home?Agent，歸屬代理)和AAA(Authentication?Authorization Accounting鑒權授權計費服務器)。移動IP通過FA和HA接入網絡，并通 過FA和HA與網絡進行信令和數據業務的交互，保證移動IP業務的安全 性通過保證FA和HA之間信令和數據業務的安全性來實現。

在3gpp2(3rd?Generation?Partnership?Project?2，第三代合作伙伴計劃2) 協議中，FA與HA之間的信令和數據業務的安全性通常采用兩種方法來保 證：

第一種方法是采用FA與HA之間的認證擴展，即在FA上配置HA列 表及相關參數，在HA上配置FA列表及相關參數。此方法的缺點是列表 及相關參數需要手工配置，對于復雜的組網環境，操作維護工作不夠方便。 特別是移動IP業務國際漫游的場景，每次配置FA時需要了解全球所有互 通HA的配置并且在全球的HA上增加新增FA的配置，實際可操作性較 差。

第二種方法采用IPSec(Internet?Protocol?Security，Internet協議安全) 隧道，即由AAA下發IPSec?IKE(Internet?Key?Exchange，因特網密鑰交換 協議)協商需要的預共享密鑰。

在某些CDMA2000系統中，PDSN(Packet?Data?Service?Node分組數 據服務節點)在移動IP用戶接入時具有FA同樣的功能，在第二種方法中， FA可以用PDSN替換。

和第一種方法相比，第二種采用IPSec隧道的安全性更高，現有的采 用IPSec隧道的移動IP接入方法包括以下步驟，如圖1所示：

步驟101、PCF與FA或PDSN建立空口鏈路；

步驟102、訪問終端與FA或PDSN協商PPP，FA或PDSN發送代理 廣播至訪問終端；

步驟103、訪問終端通過代理廣播獲取移動IP相關信息；

步驟104、訪問終端向FA或PDSN發起移動IP注冊；

步驟105至108，FA或PDSN與AAA交互，獲取認證信息，包括預 共享密碼和KeyID，同時下發HA地址給FA或PDSN；

步驟109，FA或PDSN讀取本地配置的其他協商IPSec參數，根據FA 下發的認證信息，向HA進行ISAKMP?SA協商，攜帶提議的ISAKMP?SA 信息、密匙材料以及KeyID；

步驟110，HA根據KeyID還原出FA地址，向AAA獲取生成IPSec 預共享密鑰的S?Key并保存在本地；

步驟111～112，HA讀取本地預先配置的其他協商IPSec參數，與FA 或PDSN協商建立ISAKMP?SA；

步驟113，PDSN/FA、HA協商建立IPSec?SA；

步驟114～117，完成MIP注冊，PDSN/FA與HA之間信令由IPSec隧 道承載；

步驟118，FA通知AAA計費開始；

步驟119，移動IP接入完成，訪問終端開始數據業務，FA與HA之 間數據由IPSec隧道承載。

現有的采用IPSec隧道的移動IP接入方法有以下問題：

問題一，IKE協商兩端的IPSec安全關聯，除了預共享密鑰還需要配 置若干協商參數，如FA與HA之間IPSec的傳輸模式、隧道模式下隧道兩 端的地址、安全類型、具體的加密認證算法等，這些參數仍需要手工配置 在FA和HA上，可操作性較差；